Поделиться
"Лаборатория Касперского": новый вирус удаляет все системные файлы
"Лаборатория Касперского" сообщила об обнаружении нового вируса. I-Worm.MyLife является интернет-червем, который распространяется в виде файлов, прикрепленных к зараженным письмам.Червь является приложением Windows (PE EXE-файл), имеет размер около 30Kb (упакован UPX, размер распакованного файла - около 55Kb) и написан на Visual Basic.
Червь активизируется, только если пользователь сам запускает зараженный файл. Затем вирус инсталлирует себя в систему и запускает процедуру распространения. Если червь запущен в системе в первый раз, он показывает окно с картинкой. Когда пользователь закрывает это окно, червь запускает деструктивную процедуру.
Деструктивная функция вируса запускается после того, как I-Worm.MyLife запрашивает системное время и убеждается в том, что текущее значение минуты превышает 45. В этом случае червь запускает удаляет файлы с раширениями .SYS и .COM в корневой директории диска C:, файлы с расширениями .COM, .SYS, .INI, .EXE в каталоге Windows, а также файлы с расширениями .SYS, .VXD, .EXE, .DLL в системном каталоге Windows. В случае, если значение минуты менше или равно 45, активации деструктивной функции не наступает.
В любом случае при инсталляции червь копирует себя с именем My Life.SCR в системный каталог Windows и регистрирует этот файл в ключе авто-запуска системного реестра:
HKCU\Software\Microsoft\Windows\CurrentVersion\
Run stmgr=%SYSTEM%\My Life.scr
где %SYSTEM% - системный каталог Windows.
Короткая ссылка
